銀行や証券会社といった金融機関への大規模なサイバー攻撃が相次ぐ中、企業はどう防御策を講じればよいのか。こうした課題感の中で2025年4月に開催されたのが、金融機関向けのイベント「金融ぜろとらMeet Up 2025」である。当日は、架空の証券会社の社員が抱えるセキュリティ課題を解決するセッションを実施し、増大するITリスクへの対応策を考えていった。その内容をレポートする。

参加者は2年前の3倍以上、注目度が増すイベントに

 今年で3回目の開催となった「金融ぜろとらMeet Up」。金融機関の関係者を中心に多くの人が足を運んだ。初開催時の来場者数は約50名だったが、今回の参加者は3倍以上と企業の注目度が急速に高まっていることがよくわかる。

 会場となったのは、銀座のエンターテイメント拠点「Zouk Tokyo」。この場所から未来の金融セキュリティについて話し合った。

 イベントでは、「銭寿証券(ぜにすしょうけん)」という架空の証券会社を設定し、同社の社員4名が抱える金融セキュリティの代表的課題「機密データ漏洩リスク」、「不正な通信リスク」、「Webアクセスの安全性確保」、「脆弱性管理の効率化」の解決を考えるセッションを実施していった。あわせて、本イベントの主催企業であり、ITセキュリティの支援を行うゼットスケーラーのユーザー企業によるパネルディスカッションや、参加者同士の交流会も行われた。

「経営者」主導のリスクベース・アプローチが有効な防御策

 上記の企画に先駆けて、本イベントのオープニングでは、近年、AIによって高度化するサイバー攻撃の実情や、金融機関が直面しているセキュリティリスクについて、ゼットスケーラーが網羅的に説明した。

「近年のサイバー攻撃の特徴は、ロシアや中国、北朝鮮など、国家が関与していることです」。そう話したのは、このセッションを担当したゼットスケーラー Major営業統括本部 金融事業本部 本部長の岡崎修二氏だ。国家が関わる分、攻撃の規模も質も高まっており、企業は重厚なセキュリティ対策を取る必要があると伝える。

ゼットスケーラー Major営業統括本部 金融事業本部 本部長 岡崎修二氏

 とりわけ増加しているのは「ランサムウェア」による攻撃だ。IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威(組織編)」でも、2021年から継続して、社会的に影響の大きかった脅威として1位に選出されている。ランサムウェアとは、企業のデータを暗号化して利用不可能にし、復元する代わりに身代金を要求するコンピュータ・ウィルス。あらゆる業界でこの手法による被害が増加しているが、「特に金融機関は重要情報を多数保有しているため、規模の大小に関わらず、攻撃者から標的にされやすいのです」と、岡崎氏は警鐘する。

 これらを防御するには、ハッカーなどの攻撃者がどのような行動をとっているか理解する必要がある。岡崎氏は、サイバー攻撃の手順は(1)見つける、(2)侵害する、(3)詮索する、(4)盗むという大きく4段階に分かれると説明した。

 具体的には、インターネット上の膨大な情報から攻めるポイントを見つけ、そこを侵害して他社のネットワーク内に入る。そうして、ネットワーク内を横移動(ラテラルムーブメント)しながら重要情報を詮索する。その上で、情報を盗む、あるいは暗号化していくという4段階だ。

 これら全てにAIが駆使されているのが近年の特徴であり、AIが膨大な情報からセキュリティの穴を見つけ、その後の攻撃まで自動で行うという。こうした中では、防御側もAIを駆使するのが不可欠で、セキュリティは「AI対AI」の時代になっていると力を込める。

攻撃者はセキュリティリスクのあらゆる場面でAIを活用している
拡大画像表示

 金融庁が発表した「金融分野におけるサイバーセキュリティに関するガイドライン」では、セキュリティ対策としてのリスクベース・アプローチが推奨されている。企業が自社の直面するリスクを自ら評価し、重要性や緊急性に応じて優先順位をつけてリスクの低減措置に取り組む方法だ。これらを「経営層がリーダーシップを取って行う」ことが重要であり、同ガイドラインでもその点が強調されていると岡崎氏は述べた。

 高度化するセキュリティ課題に対処するため、ゼットスケーラーが展開する4つのソリューションについても紹介された。外部からの不正侵入や、その後のネットワーク内での“横移動”を防ぐ「サイバー脅威対策」、SaaSからクラウド、エンドポイントまで広範囲で行う「データ保護」、同社の軸であるゼロトラスト(※)に基づいた「ゼロトラスト ネットワーキング」、自社のリスクを可視化して対策を講じる「リスク管理」である。

※企業が保有するネットワークの内部と外部を区別せず、全てのネットワークアクセス者を信用せずに検証するという考え方。クラウド化が進み、あらゆる場所から社員がアクセスする環境になり、この方法論の重要性が高まっている。

 特に「リスク管理」は、先述のリスクベース・アプローチと関係が深く、最新かつ重要なソリューションだと岡崎氏は話す。「攻撃される前に自社のリスクを把握し、優先順位をつけて対策を取るのがこのソリューションです」。AIによるリスク可視化に加え、ゼットスケーラーが持つ全世界のITセキュリティ関連データを分析し、直近の攻撃事例と自社のIT環境を比較して攻撃可能性を予測するといったことも行われるという。

金融機関が直面する4つのセキュリティ課題と、その解決策

 その後のイベントでは、架空の証券会社「銭寿証券」の社員が抱える4つの課題をテーマに進められた。以下に概要を記載していく。

架空の証券会社 「銭寿証券」を例に金融機関の抱えるセキュリティ課題を解説
拡大画像表示

 最初に行われたのは、「機密データ漏洩リスクへの対応」をテーマにしたセッション。情報漏洩の対策は企業の絶対的使命だが、それらを遂行するには、まずどこに重要情報や漏洩リスクがあるのかを把握しなければならない。社内のネットワークに加え、クラウドのデータセンターやSaaSのファイル共有アプリといった外部にもそれらは存在する。また、生成AIを活用していると、知らぬ間に重要情報がクラウドに流出している可能性もある。そうした全体像を明確にすることが求められる。

 登壇したゼットスケーラー セールスエンジニアリング本部 セールスエンジニアの大林有子氏は、こうした前提を伝えた上で、漏洩リスク対策における4つのステップを以下のように紹介した。

 まずは、上述のように重要情報とリスクがどこに存在しているかを「1、可視化」し、次に、機密情報の定義を明確にして自社の保有するデータを「2、分類」する。さらに、「3、ルール適用」として自社の情報漏洩対策ルールを決め、そのルールに則って「4、運用」を行う。ゼットスケーラーではそれぞれのステップに対応するソリューションを保有しており、包括的にサポートできるという。

情報漏洩対策は「1、可視化」「2、分類」「3、ルール適用」「4、運用」の4ステップから
拡大画像表示

 次に、「銭寿証券」が抱える2つ目の課題「不正な通信リスク」への対処に関するセッションが実施された。ここでポイントになったのは、攻撃者が企業のネットワークに侵入した後、重要情報を探してネットワーク内を“横移動(ラテラルムーブメント)”するプロセスについてだ。この横移動を防ぐには、ネットワークセグメンテーション(ネットワークを細かく分割する)ことが重要だが、「従来の機器では十分に対応できない点がある」と、ゼットスケーラー セールスエンジニアリング本部 セールスエンジニアの斎藤貴広氏は指摘した。

 理由として、それらの機器はクラウド普及前の「内部ネットワークは安全」という定義のもとに作られており、内部間の通信、つまり横移動への脆弱性が残る懸念があるという。また、近年の急激なIT進化への対応の煩雑さや、セグメント間の設定の不都合や管理漏れにより横移動を許す危険性もはらんでいる。

 ゼットスケーラーでは、これらを解決する3つのセグメンテーションを用意していると斎藤氏は説明する。AIやマシンラーニングによるセグメンテーション、デバイスごとに1つのセグメントを作るデバイスセグメンテーション、そして、データセンターやクラウド内に細分化されたセグメントを作るマイクロセグメンテーションである。3つ目のマイクロセグメンテーションについては、このイベントが「日本初公開」の最新技術だと伝えられた。

3つのセグメンテーションで不正な通信リスクを管理
拡大画像表示

「銭寿証券」3つ目の課題として挙げられたのは、「Webアクセスの安全性確保」である。このテーマに関連し、セッションでは、IT担当者レベルでの具体的な悩みに触れていった。

 その一つが、現状のシンクライアントシステム(※)につきまとう不安についてだ。ゼットスケーラー セールスエンジニアリング本部 セールスエンジニアの佐立将樹氏は「今後生じるシンクライアントのライセンス料の値上げは金融機関の憂慮すべき項目です。特にWindows10のサポート終了に伴って生じる11への更新対応は、大幅なコスト増を招くでしょう」と話す。また、シンクライアントシステムの遅延やつながりにくさに悩む企業も多く、さらに、オフショア開発やサードパーティとなる外部企業との業務提携にも不安が残る。

※端末自体にはデータなどを保存せず、社内のサーバーでほとんどの情報を管理するシステム。

 これらに対し、ゼットスケーラーでは「クラウドブラウザ分離技術」を活用し、課題解決をサポートしている。リスクのある通信のみ分離する、全トラフィックを分離するなど、要件に合わせて柔軟に対応できるほか、シンクライアントの運用管理も支援するという。また、自社社員だけでない、オフショアや業務提携先のWebアクセスもカバーするゼロトラストブラウザを構築していると話す。

クラウドブラウザ分離技術の「ゼロトラストブラウザ」
拡大画像表示

 続いて、「脆弱性管理の効率化」についてのセッションが行われた。ここで触れられたのは、企業のITリスクのサイロ化・部分最適化について。各部門ではシステムのリスクや脆弱性を把握・対策していても、それらを全社で一元管理できていないケースは多いという。その結果、経営層向けのレポートをすぐに上げられない、重大な脆弱性が発生した際の社内共有や対応が遅れるという問題につながる。

 ゼットスケーラー セールスエンジニアリング本部 セールスエンジニアの佐藤智典氏は、この状況を「個人の資産管理」に例えると、「銀行預金や証券など、それぞれの資産は把握しているが、これらを横断して自分の全資産を一元的に管理できていない状況」と話す。個人の資産であれば、例えば近年浸透した個人向け家計簿アプリのサービスなどで、一元管理ができる。企業の脆弱性管理についても家計簿アプリなどと同様に管理をする必要があるという。

 ゼットスケーラーでは、家計簿アプリと同様のイメージで、社内の各部門に点在する脆弱性を統合管理し、レポート化するソリューションを提供しているとのこと。その内容を細かく説明していった。

脆弱性情報を「資産状況」のように可視化
拡大画像表示

セキュリティ領域の「企業連携」を生み出す仕掛けも

 当日はこれ以外に、ゼットスケーラーのユーザー企業によるパネルディスカッションが行われ、岡三証券グループ、京葉銀行、東京海上ホールディングスの代表者が意見を交わした。また、イベントの最後には「ネットワーキングパーティ」と名付けられた参加者交流会が開かれ、さまざまな仕掛けで他企業の人とつながる時間が作られた。ゼットスケーラーの岡崎氏は「5名以上との名刺交換を目標にしましょう」と呼びかけるなど、仲間を増やすイベントになったといえる。

ネットワークパーティーでは参加者同士が積極的に名刺を交換し交流を行っていた。

 サイバー攻撃が容赦なく企業を襲う時代。その防衛策は、各社が競い合う領域ではない。さまざまな企業が手を取り合いながら、一緒に対策を考えることが大切だ。今回のイベントは、その連結を生む機会にもなっただろう。

Zscalerのウェブサイトはこちら

<PR>